Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 14 Novembre 2025 15:30
È stata scoperta una vulnerabilità nell’ecosistema di hosting Linux: lo scanner malware ImunifyAV è risultato vulnerabile all’esecuzione di codice remoto ( RCE ).
Il problema riguarda il componente AI-Bolit integrato in Imunify360, nella versione a pagamento ImunifyAV+ e nella versione gratuita ImunifyAV. Una correzione è stata rilasciata a fine ottobre, ma la vulnerabilità non è ancora stata identificata e non ci sono raccomandazioni per la scansione alla ricerca di segni di hacking.
Patchstack ha pubblicato informazioni sulla falla in questione. Secondo l’azienda, la falla risiede nella logica utilizzata per decomprimere i file PHP offuscati durante l’analisi di contenuti sospetti. AI-Bolit ha richiamato le funzioni PHP estratte dai file offuscati senza verificarne la validità. Grazie all’utilizzo del costrutto call_user_func_array senza filtraggio dei nomi, sono state eseguite funzioni arbitrarie a livello di sistema, exec, shell_exec, passthru, eval e altri. Ciò ha creato una piattaforma sul server per attacchi sofisticati in grado di prendere il controllo del sito web e, con privilegi di scansione avanzati, di ottenere il potenziale controllo sull’intera macchina.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Sebbene la deoffuscamento attivo sia disabilitata nella versione standalone di AI-Bolit, l’integrazione dello scanner con Imunify360 la abilita. Questo vale per l’analisi in background, la scansione su richiesta, le scansioni definite dall’utente e le scansioni accelerate, creando le condizioni necessarie per lo sfruttamento. Patchstack ha mostrato un esempio funzionante: è sufficiente creare un file PHP pre-impostato in una directory temporanea. Dopo aver analizzato questo oggetto, lo scanner eseguirà un comando dannoso.
La popolarità di ImunifyAV rende il problema diffuso: la soluzione è integrata nel pannello cPanel/WHM, è utilizzata attivamente nelle installazioni server ed è presente su qualsiasi hosting standard con protezione Imunify360. Secondo i dati dell’azienda di ottobre 2024 , questa suite di strumenti opera silenziosamente dietro le quinte su 56 milioni di siti web e il numero di installazioni di Imunify360 supera le 645.000.
CloudLinux ha annunciato il rilascio delle patch e ha raccomandato agli amministratori di eseguire l’aggiornamento alla versione 32.7.4.0, incluse le vecchie installazioni di Imunify360 AV, a cui le patch sono state migrate il 10 novembre.
La nuova versione implementa una whitelist di funzioni sicure che impedisce l’esecuzione di codice PHP non autorizzato durante il processo di deoffuscamento. Ciononostante, l’azienda non ha ancora fornito istruzioni per l’identificazione di possibili compromissioni né ha confermato la presenza di attacchi attivi.
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
